安全
关注网络安全、软件供应链安全等领域的最新技术、理念的发展和实践
蚂蚁数科发布“OpenClaw 龙虾卫士”:龙虾版杀毒软件来了!
随着 AI 智能体技术加速渗透企业核心业务场景,以 OpenClaw 为代表的自主执行型 AI 正成为新一轮生产力变革的重要引擎。然而,其强大的系统访问与任务执行能力也带来了前所未有的安全风险——权限越界、记忆污染、恶意诱导、算力滥用等问题日益凸显。部分企业在拥抱效率的同时,低估了潜在治理挑战。
亚马逊云科技为 OpenClaw 提供一键部署,但互联网已有 4 万暴露实例
亚马逊云科技在 Lightsail 上推出托管版 OpenClaw,与此同时该项目正面临严重安全漏洞。
JoySafeter 重磅开源:开启 AI 驱动安全(AISecOps)新范式
JoySafeter 是一个安全能力的“操作系统”,它不是单一的工具,而是一个能够将无序的安全工具、分散的专家经验,统一编排成协同作战的 AI 军团的可视化平台。简单来说,它让安全专家能够用“搭积木”的方式,使用自然语言或可视化界面,构建、管理和进化能自主完成复杂安全任务的 AI 智能体(Agent)。
棒棒糖与螺旋:AI 安全分层架构探索
如何在释放 AI 生产力的同时保持核心资产安全、控制复杂度,是每个工程团队必须面对的关键问题。
WhatsApp 在 30 亿台设备上部署基于 Rust 的媒体解析器以阻止恶意软件
WhatsApp 的工程团队将其媒体处理库从 C++ 重写为 Rust,将代码规模从 16 万行减少至 9 万行,同时引入了内存安全保护机制。
Teleport 推出智能体身份框架,为企业基础设施中的 AI 智能体提供安全保障
Terraform 母公司 Teleport 发布 Teleport 智能体身份框架,旨在帮助企业安全地在云环境和本地环境中部署自主和半自主 AI 智能体。
BellSoft 调查发现容器安全实践正在破坏开发者自己的目标
容器安全事件正在成为软件团队的日常现实,而原本用于防护的工具反而可能让问题变得更糟。
百度端侧大模型安全建设实践:在算力与保障之间找到平衡
本文分享了 AI 从云端向终端延伸的背景与驱动力以及端侧小模型的兴起与生态布局,以及在低算力情况下最大限度的满足端侧内容审核的效果。通过分享百度在端侧大模型安全建设的思路,做到离线场景低算力情况下依旧可以支持多模安全审核,帮助听众开拓了一些新思路。
DoorDash 运用 AI 提升聊天与通话安全,将安全事件减少 50%
DoorDash 构建并部署了一个 AI 驱动的安全系统 SafeChat,用于审核配送员与顾客在应用内聊天、发送图片及进行语音通话时的互动内容
AI Agent 是长期运行的“风险系统”,如果你还只在防 Prompt Injection,说明已经落后一代了
CyberArk 如何通过指令检测与历史感知校验机制保护 AI Agent。
在美国法律管辖权受到质疑之际,亚马逊云科技推出了欧洲主权云服务
亚马逊云科技(AWS)已将其欧洲主权云服务(European Sovereign Cloud)推向全面可用,该服务在物理和逻辑上分离的基础设施上投资了 78 亿欧元。该服务现已在德国勃兰登堡州提供,旨在应对欧洲的监管要求以及对美国访问数据的日益增长的地缘政治担忧。尽管 AWS 强调,该云服务将完全由欧盟居民在新的德国母公司结构下运营,但关于这种分离是否真的能抵御美国政府的数据请求,仍存在重大疑问。
揭秘 Uber 跨区域数据湖与灾难恢复机制:350PB 数据、数百万事件、单一系统
Uber 构建了 HiveSync,这是一个分片式批量复制系统,能够使 Hive 和 HDFS 数据在多个区域之间保持同步,它每天处理数百万个 Hive 事件。
解决移动分析碎片化困局:Uber 的平台引领之道
为了标准化 iOS 和 Android 平台的事件工具,Uber 工程团队重新设计了其移动分析架构,解决了所有权分散、语义不一致和跨平台数据不可靠的问题。
Cloudflare 通过左移安全实践扩展基础设施即代码
Cloudflare 通过实施基础设施即代码和自动化策略执行,消除了数百个生产账户中的手动配置错误,每天处理大约 30 个合并请求,并在部署前而不是事件发生后捕捉安全违规。
测试人员可以做些什么来确保软件安全
Sara Martinez 在 Online TestConf 上的演讲“确保软件安全”中说到,一个安全的软件开发生命周期意味着将安全融入到计划、设计、构建、测试和维护各个阶段,而不是在最后阶段才匆忙添加。
InfoQ Dev Summit 慕尼黑站:五个常见的 AI 安全误区被打破
Jarmul 指出,当前的 AI 安全方法过度依赖技术手段,却忽视了根本性风险。
Cloudflare 被 React 坑了!两周内二次“翻车”:沉睡 15 年的老代码一招 KO 全球互联网,安全升级反酿史诗级宕机
Cloudflare 又双叒宕机了
25000 美元卖公司内部截图,丢了饭碗还要吃牢饭!大厂百万年薪抢招“内鬼分析师”,围剿下一个“自己人”
全球大厂抢着招“内鬼分析师”?
Anthropic 研究发现:仅需少量污染文档即可对 LLM 实施投毒
Anthropic 发布针对大语言模型训练过程投毒的研究,发现决定攻击成功与否的主导因素是污染样本的绝对数量,而非占比。
Pixnapping:侧信道漏洞使安卓应用可窃取敏感屏幕数据
安卓设备上出现了一种新的攻击类型,允许恶意应用使用一种名为像素窃取的技术从其他应用的屏幕上窃取信息,这种攻击被称为 Pixnapping。它利用了之前已知的侧信道漏洞,几乎所有的应用都受到了影响,包括 Signal、Google Authenticator、Venmo 等。
HashiCorp 警告称传统密钥扫描工具日渐落伍
HashiCorp 发出了警告,称传统的密钥扫描工具未能跟上现代软件开发的现实情况。
OPPO 发布多项新举措完善开发者生态与安全体系
OPPO 发布了全新的“OPPO 隐私安全智护体系”,并宣布对平台的开发者合作策略进行升级,包括向个人开发者开放应用上传权限、上线“一键出海”等新功能。
GitHub 新增后量子 SSH 密钥交换算法,保障 Git 数据传输安全.
,GitHub 推出了一种后量子安全密钥交换混合算法,用于通过 SSH 访问 Git。新算法名为 sntrup761x25519-sha512(又名 sntrup761x25519-sha512@openssh.com),融合了精简版 NTRU Prime(一种后量子加密方案)和经典曲线算法 X25519。这一调整旨在防范未来量子计算机破译当前记录的 SSH 会话,从而保障 Git 数据安全。
GitHub 新增后量子 SSH 密钥交换算法,保障 Git 数据传输安全
GitHub 推出了一种后量子安全密钥交换混合算法,用于通过 SSH 访问 Git。新算法名为 sntrup761x25519-sha512(又名 sntrup761x25519-sha512@openssh.com),融合了精简版 NTRU Prime(一种后量子加密方案)和经典曲线算法 X25519。这一调整旨在防范未来量子计算机破译当前记录的 SSH 会话,从而保障 Git 数据安全。
AI 安全新范式:京东 JoySafety 开源项目深度解析
京东于 2025 年 9 月 25 日在京举办的 JDD 大会上正式开源了大模型安全项目——JoySafety。该项目已在京东内部广泛应用,覆盖 AI 导购、物流客服、医疗问诊等数百个场景,日均调用量达亿级,攻击拦截率超过 95%,致力于为企业提供一套高效、免费、可落地的安全防护体系。
Anthropic 公布 Claude 性能问题根源:三大基础设施漏洞
Anthropic 近日发布故障报告,揭示近期 Claude 模型输出质量间歇性下降的根源在于三个独立的基础设施漏洞。Anthropic 表示目前已解决所有问题,且在改进内部流程以防类似事件发生。
你给 AI 智能体的权限,正被黑客利用,OWASP 警告:真正的危机才刚刚开始
OWASP 将“工具滥用”列为自主智能体 AI 的关键威胁。
ARMO 研究揭示:io_uring Rootkit 技术可绕过 Linux 安全工具
ARMO 的安全研究人员发现了 Linux 运行时安全工具中的一个重要漏洞,这个漏洞源于 io_uring 接口,这是一种异步 I/O 机制,可以完全绕过传统的系统调用监控。研究表明,攻击者可以利用这个盲点在大多数现有安全解决方案无法检测到的情况下进行操作。
谷歌开源秘钥扫描工具 Veles
谷歌开源秘钥扫描工具 Veles,属于谷歌 OSV-SCALIBR(软件成分分析库)生态系统的一部分。
构建面向大模型的安全治理体系和应用实践
随着大模型技术的飞速发展和广泛应用,其带来的安全风险也日益凸显。传统的安全防御体系在应对大模型所引发的全新挑战时,正面临着巨大的压力。
